[아이티비즈] 빛스캔(대표 문일준)은 지난 4월 말경 국내에서 널리 유포되는 파밍 악성코드에서 새로운 공격기법이 확인됨에 따라 최근 '전문보고서'를 발행했다.
이 보고서에 분석된 내용을 요약하면, 기존에 파밍 악성코드가 파밍 사이트로 연결시 사용했던 DNS, hosts(hosts.ics) 변조 방식이 아닌 PAC(Proxy Auto-Config) 기능을 활용하여 파밍 사이트로 연결을 시키는 것으로 확인됐다.
김설원 선임 연구원은 “PAC를 통해서 파밍 사이트에 연결하는 방식은 악성코드에 감염된 사용자가 입력한 주소를 내부 스크립트와 비교 한 후 값이 일치하면 파밍 사이트 주소로 연결하고, 일치하지 않을 경우에는 정상적인 사이트로 접속한다”면서, "추가적으로 악성코드의 지속적인 실행을 위해 레지스트리를 통해 시작 프로그램에 등록했고, 시작 페이지를 네이버로 강제적인 변경과 함께 커넥션 테스트를 하는 것으로 분석됐다”고 말했다.
또, 지창훈 연구원에 따르면 “감염 직후 실행되는 바이너리는 랜덤한 파일이름을 가진 DLL 파일을 생성하여 rundll32.exe 파일에 인젝션하고, 이 과정에서 PAC(Proxy Auto-Config) 설정값 변조 및 공인인증서, 네트워크 어댑터 정보 등을 공격자 서버에 전송한 것으로 분석됐다”고 밝혔다. 이어 그는 “공격자 서버로 전송한 이후에는 해당 파일을 삭제하여 사용자가 인지를 할 수 없게 하는 치밀함도 보였다”고 전했다.
또한 그는 “파밍 악성코드 유포에 PAC 설정을 활용하여 어느정도 효과를 얻었는지 구체적으로 확인하기 어렵지만, 공격자가 개인정보 탈취를 위해서는 현재뿐만 아니라 앞으로도 지속적으로 노력하고 있다는 점은 분명하다. 따라서, 지속적인 관찰과 대응이 필요하다”고 말했다.
빛스캔에서 약 5년간 모니터링의 경험에 비추어 볼 때, 현재의 파밍 공격을 막기 위해서는 파밍 공격에 이용되는 악성코드만을 막는 기존의 방법으로는 충분한 대응이라고 보기 어렵다. 웹 사이트를 통해 손쉽게 대량으로 감염시키는 ‘공격 통로’인 악성 URL을 사전에 탐지해 차단하는 해야 한다.
최초 파밍 공격이 탐지된 2013년부터, 3년이 지난 2016년 현재도 국내에서는 이러한 파밍 공격이 대량으로 발생되고 있다.
